"Metaverse Asset Bank," Carnival, som opplevde en smart kontraktsutnyttelse i en mengde transaksjoner og førte til gevinst på rundt 3,000 ETH ved at en hacker fant en oppløsning som reduserte skaden på plattformen og fikk hackeren til å se bedre ut, pr. PeckShield Inc.
Hvordan skjedde hacket?
Feilen i plattformens kode tillot hackere å trekke seg pantsatt NFT-er og bruke dem som sikkerhet. Mekanismen ble senere brukt til å drenere eiendeler fra bassenget. Hovedspørsmålet var mangelen på skjønn i kontrakten som ikke har kontrollert om pantsatt NFT er trukket tilbake av låntaker.
Som alltid mottok hackeren pengene sine fra Tornado Cash-myntblandingsløsningen, som gjorde at han kunne være helt anonym. Potensielt kunne utnytteren lett ha vasket stjålne midler og holdt seg under radaren, og så senere flyttet dem til fiat på en eller annen måte.
annonser
Den gode slutten
Heldigvis for plattformbrukere og ledelsesteamet, gikk hackeren med på å returnere halvparten av de stjålne midlene kun på én betingelse: hvis hele utnyttelseshistorien ville bli ansett som en "bug bounty", ville han unngå alle fremtidige søksmål.
Det ser ut til at de resterende 1467 ETH nettopp er returnert. @XCarnival_Lab https://t.co/k44zakkAvB https://t.co/h5OKcVM9PN pic.twitter.com/rnUiZyATNJ
- PeckShield Inc. (@peckshield) Juni 27, 2022
Han ba Carnival CEO om å gi eieren av adressen som slutter med "B800a" en dusør på 1,500 ETH i bytte for de stjålne midlene. I hovedsak betalte plattformen hackeren en $1.8 millioner bug-premie, som regnes som mer enn sjenerøs.
Siden begynnelsen av året har antallet utnyttelser og hacks av ulike DeFi-plattformer og NFT-samlinger gått betydelig ned, mest sannsynlig på grunn av fallende popularitet til begge bransjene og krasjet i kryptovalutamarkedet i mai og juni.
Kilde: https://u.today/hacker-stole-nfts-worth-3000-eth-and-then-returned-half-of-it-heres-how